WordPress-Plug-in Popup Builder: Angreifer könnten Newsletter verschicken
Es gibt ein wichtiges Sicherheitsupdate für das WordPress-Plug-in Popup Builder.
(Bild: AFANASEV IVAN/Shutterstock.com)
Admins, die auf ihren WordPress-Websites das Plug-in Popup Builder einsetzen, sollten es zeitnah auf den aktuellen Stand bringen. Ansonsten könnten Angreifer Seiten attackieren und beispielsweise Newsletter mit Links zu Malware verschicken oder Seiten-Abonnenten löschen.
Mit dem Plug-in kann man Pop-up-Meldungen auf Websites managen. In einem Beitrag schreiben Sicherheitsforscher von WebARX, dass das Plug-in 200.000 aktive Installationen aufweist. Die Sicherheitsproblematik resultiert aus unzureichenden Überprüfungen von Nutzer-Eingaben in verschiedenen Ajax-Methoden.
Mehrere Updates nötig
Die Entwickler geben an, die Schwachstellen in der aktuellen Popup-Builder-Version 3.73 geschlossen zu haben. Die Sicherheitsforscher erläutern, dass die Entwickler seit Dezember 2020 angefangen mit Ausgabe 3.71 mehrere Versionen nachschieben mussten, um das Sicherheitsproblem aus der Welt zu schaffen.
Offensichtlich wurde noch keine CVE-Nummer zur Katalogisierung der Lücke vergeben. Auch eine Einstufung des Bedrohungsgrads steht noch aus.
(des)
